- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Enotna pristopna izjava za zvezo društev in za društvo
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Enotna pristopna izjava za zvezo društev in za društvo
Datum
04.05.2023
Številka
07121-1/2023/592
Kategorije
Društva
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da imate zvezo društev ter mladinsko organizacijo. Do nedavnega je veljalo, da če se mladi člani včlanijo v mladinsko organizacijo, so hkrati tudi včlanjeni v društvo, kjer stanujejo. Tako tudi piše na pristopni izjavi, ki vključuje opombo, da je obdelava in hranjenje osebnih podatkov skladno z EU in SLO zakonodajo. Prosite nas za mnenje, ali je potrebno podpisati dve pristopni izjavi, torej ločeno za zvezo društev in za mladinsko organizacijo.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Ključno je, da za vsak posamezen namen obdelave posamezniku posredujete vse zahtevane informacije o obdelavi njegovih osebnih podatkov po 13. členu Splošne uredbe. Dva upravljavca sicer lahko skupaj podata informacije za posameznika, vendar se zdi se, da je pregledne informacije težko podati v skupnih informacijah na eni pristopni izjavi. Vsekakor morajo biti te pregledne, jasne in zajemati vse obvezne podatke. Poudarjamo, da izjava upravljavca, da se osebni podatki »obdelujejo skladno z EU in SLO zakonodajo« nikakor ne izpolnjuje pogojev iz 13. člena Splošne uredbe.
Obrazložitev
IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.
Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Te so določene v prvem odstavku 6. člena Splošne uredbe in so sledeče:
-privolitev (točka a)),
-sklenitev ali izvajanje pogodbe (točka b)),
-zakon (točka c)),
-zaščita življenjskih interesov posameznika (točka d)),
-izvajanje javne naloge (točka e) v zvezi s četrtim odstavkom 6. člena ZVOP-2),
-zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika (točka f)).
V kolikor torej v konkretnem primeru obstaja ena izmed zgoraj naštetih podlag za obdelavo vaših osebnih podatkov s strani konkretnega člana društva, je takšna obdelava skladna z zakonodajo. Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru društva ter zveze društev, kot dveh ločenih upravljavcev), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Društvo mora torej zagotoviti zakonitost obdelave osebnih podatkov svojih članov.
IP je izdal že več mnenj glede obdelave osebnih podatkov v okviru društev, za katera vam svetujemo, da jih preučite. Opozoriti sicer moramo, da je sklicevanje v mnenjih na ZVOP-1 zastarelo, saj je bil od takrat sprejet novi zakon – ZVOP-2, vendar je temelj teh mnenj ostal enak, in sicer Splošna uredba o varstvu podatkov (t.i. GDPR). Zato so omenjena mnenja še vedno relevantna v delu, ki se sklicujejo na Splošno uredbo in morebitno področno zakonodajo, na primer Zakon o društvih.
Iz načelnega mnenja o obdelavi osebnih podatkov o društvih št. 0712-1/2018/622 z dne 14. 3. 2018 (https://www.ip-rs.si/mnenja-zvop/splo%C5%A1no-glede-obdelave-osebnih-podatkov-v-dru%C5%A1tvih) pa izhaja, da je pravna podlaga za obdelavo osebnih podatkov članov društva za namen delovanja društva praviloma podana v določbah členov 6(1)(b) ali 6(1)(f) Splošne uredbe o varstvu podatkov. Navedeni pravni podlagi prideta v poštev zlasti v povezavi s pravili delovanja društva, ki jih določajo temeljni ter drugi akti, Zakon o društvih (Uradni list RS, št. 64/11 - UPB, 21/18 – ZNOrg; v nadaljevanju: ZDru-1) in drugi predpisi (v nadaljevanju: pravila za delovanje društva).
Iz navedenega mnenja še izhaja, da mora biti za posamezni namen pred začetkom obdelave znano, na kateri pravni podlagi obdelava poteka. Privolitev posameznika pa ni primerna pravna podlaga, kadar gre v določenem primeru in namenu za obdelavo na podlagi zakona, pogodbe ali zakonitih interesov upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika.
Prav tako si lahko ogledate mnenje IP št. 07121-1/2022/1427 z dne 23. 12. 2022 (https://www.ip-rs.si/mnenja-gdpr/obdelava-osebnih-podatkov-v-okviru-delovanja-dru%C5%A1tva-1671796547).
Za vsako obdelavo osebnih podatkov morate biti torej prepričani, na kateri pravni podlagi poteka in biti to sposobni tudi dokazati.
Ko ste prepričani o pravni podlagi za vsako obdelavo osebnih podatkov pa je nadalje ključno, da je posameznik ob zbiranju osebnih podatkov seznanjen z vsemi informacijami o obdelavi osebnih podatkov, ki jih upravljavcu nalaga 13. člen Splošne uredbe. Med drugim je posamezniku treba sporočiti: identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu. Za vse obvezne informacije si oglejte besedilo člena 13 Splošne uredbe (https://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04?locale=sl).
Za vsako obdelavo osebnih podatkov je treba torej sporočiti posamezniku informacije iz 13. člena Splošne uredbe. V vašem konkretnem primeru predvidevamo, da zveza društev in društvo, ki sta ločeni pravni osebni, torej ločena upravljavca osebnih podatkov, osebne podatke obdelujeta na različnih pravnih podlagah (nekatere na podlagi pogodbe, za kar šteje tudi vključitev v društvo, druge na podlagi zakonitih interesov, tretje na podlagi zakona in četrte morebiti na podlagi osebne privolitve). Zaradi tega je ključno, da za vsako od identificiranih obdelav obvestite posameznika o pravni podlagi, namenih obdelave, identiteti upravljavca in vseh drugih informacijah, ki jih našteva 13. člen Splošne uredbe.
Ni torej tako pomembno, koliko pristopnih izjav posameznik podpiše, ključno je, da za vsak posamezen namene obdelav osebnih podatkov pridobi vse zahtevane informacije o obdelavi njegovih osebnih podatkov po 13. členu Splošne uredbe. Dva upravljavca sicer lahko skupaj podata informacije za posameznika, vendar se zdi se, da je pregledne informacije težko podati v skupnih informacijah na eni pristopni izjavi. Vsekakor morajo biti te pregledne, jasne in zajemati vse obvezne podatke. Poudarjamo, da izjava upravljavca, da se osebni podatki »obdelujejo skladno z EU in SLO zakonodajo« nikakor ne izpolnjuje pogojev iz 13. člena Splošne uredbe.
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka
Pripravila
mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov